Sécurité Active Directory Part 1

Synopsis

Dans cet épisode technique animé par Guillaume Ross (@gepeto42), l’accent est mis sur la sécurisation d’Active Directory avec des recommandations pratiques pour les équipes Blue Team. Il couvre l’endurcissement des domaines Windows, la gestion sécurisée des comptes privilégiés, le déploiement de PAW (Privileged Access Workstations), et les meilleures pratiques pour limiter les risques d’authentification et les mouvements latéraux dans l’infrastructure.

Segment Technique par Guillaume Ross (@gepeto42)

Shownotes and Links

• Blue Team: Awesome Windows Domain Hardening Guide par notre host @PaulWebSec

• Sécuriser AD et les serveurs Windows

  • Créer une structure d’OU de base flexible et appliquer l’endurcissement de base avec SCM: https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
    • S’assurer qu’au minimum, toutes les méthodes d’authentification super dangereuse du genre LM et NTLMv1 soient désactivées.
    • Enlever les droits de logon des groupes comme Backup, Account et Print operator des DC.
    • Désactiver la résolution de nom Netbios et LLMNR (surtout sur les postes de travail): Computer Configuration\Administrative Templates\Network\DNS Client\Turn off Multicast Name Resolution = Enabled
  • Déployer une bonne audit policy: https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise et https://blogs.technet.microsoft.com/jepayne/2015/11/26/tracking-lateral-movement-part-one-special-groups-and-specific-service-accounts/
  • Limiter les pouvoirs des comptes de service: https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment](https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment)
    • Empêcher le groupe “Local Accounts https://technet.microsoft.com/en-us/library/dn745900(v=ws.11).aspx de s’authentifier à distance.
    • Empêcher les comptes de service de s’authentifier de façon intéractive.
    • Empêcher les domain et enterprise admin de s’authentifier en tant que services, ainsi que de s’authentifier sur les postes de travail.
    • Déployer LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899
    • Créer une Fine-Grained Password Policy https://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx pour forcer les comptes de service à avoir de très longs mots de passe (32+).
    • Si vous avez déjà utilisé les GPO pour déployer des mots de passe, les changer en enlever ça au plus vite: https://msdn.microsoft.com/en-us/library/cc422924.aspx
  • Créer des PAW (Privileged Access Workstations) pour toute activité très privilégiée: https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/privileged-access-workstations -Les PAW ne doivent en aucun cas avoir accès à Internet, ni direct ni à travers un proxy.
    • Utiliser Device Guard https://technet.microsoft.com/en-us/itpro/windows/keep-secure/device-guard-deployment-guide ou au moins AppLocker.
  • Déléguer des droits précis et n’avoir aucun compte très puissant utilisé dans le day-to-day. Absolument critique.
  • Serveurs de fichiers
    • Activer l’auditing.
    • Créer une liste de types d’extension communes des Ransomware.
    • Utiliser FSRM pour créer une règle de firewall temporaire, arrêter le service, bloquer le compte utilisateur ou changer les permissions quand un fichier chiffré par ransomware est détecté: https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce et https://fsrm.experiant.ca/